密碼雜湊產生與驗證
(Argon2id、bcrypt、scrypt、PBKDF2)

在客戶端產生/驗證密碼雜湊,參數貼近實務。便於除錯整合並理解 salt、記憶體與迭代對成本的影響。僅在本機執行—密碼不離開瀏覽器。

此工具由 Authgear 打造
支持並為我們加星

您的資料安全是我們的首要考量。所有雜湊與驗證皆在此瀏覽器完成。本工具不會儲存或將密碼與雜湊傳送到瀏覽器以外。原始碼:https://github.com/authgear/authgear-widget-password-hash

更多開發者工具

JWT 與 JWE 除錯器
JWK 產生器
HMAC 工具
SAML 測試工具
TOTP 驗證器
密碼雜湊產生器
Base64 解碼與編碼
UUID v7 產生器與時間戳擷取

支援的密碼雜湊函式

Argon2id 參數
Argon2id 為現代記憶體困難函式,可提高 GPU/ASIC 攻擊成本。調整記憶體、迭代(t)與平行度(p),使驗證路徑在正式硬體上約 250–500ms。每個密碼使用唯一隨機 salt(16–32 bytes)。
bcrypt(成本/輪數)
bcrypt 經廣泛部署。提高 cost 以減緩暴力嘗試,同時維持可接受的登入體驗。輸出相容廣泛的 $2b$ 格式。
scrypt(N, r, p)
scrypt 具記憶體困難性。提高 N(例如 2^15–2^19)以提高攻擊成本;調整 r、p 以平衡記憶體與平行度。
PBKDF2(SHA-256/SHA-512)
PBKDF2 仍常作相容用途。使用高迭代次數(數十萬以上)並隨硬體進步定期檢視。
Salt(與選用的 Pepper)
工具可產生密碼學安全的 salt 並設定長度與編碼(Hex/Base64)。部分部署另加 pepper(站點級密鑰)不存入雜湊。請謹慎使用並如其他密鑰般管理。
延伸閱讀:
密碼雜湊與加鹽說明如何選擇雜湊函式

如何使用密碼雜湊產生器

步驟 1.
輸入密碼
  • 開啟「產生」分頁並輸入示範密碼(請勿使用真實憑證)。
步驟 2.
選擇演算法
  • 新系統一般建議 Argon2id。
步驟 3.
設定參數:
  • Argon2id:記憶體(MiB)、迭代(t)、平行度(p)。
  • bcrypt:Cost(2^cost 輪數)。
  • scrypt:N(2 的幂)、r、p。
  • PBKDF2:迭代與摘要(SHA-256/512)。
步驟 4.
產生密碼雜湊
  • 按「產生密碼雜湊」,複製編碼字串。
步驟 5.
驗證密碼雜湊
  • 切換至「驗證密碼雜湊」測試密碼與編碼雜湊是否成對。

用真實密碼安全嗎?

所有雜湊皆在瀏覽器本機完成。為自身安全起見,請避免在任何線上工具使用正式密鑰。

該用哪種雜湊函式?

新系統一般建議 Argon2id。bcrypt 與 scrypt 部署廣泛;PBKDF2 作相容後備。務必實測並選擇符合延遲目標的參數。

雜湊應該花多久?

許多團隊以驗證路徑約 250–500ms 為目標。在正式硬體上選擇最慢但仍可接受 UX 的設定。

為什麼框架驗證不過?

常見原因:空白/換行、編碼不一致(hex 與 Base64)、bcrypt 前綴差異($2a$ 與 $2b$),或遺漏 pepper。

Salt 長度該多少?

標準為 16–32 bytes 隨機資料。工具預設使用安全亂數並顯示長度與編碼。